西班牙 Esquema Nacional de Seguridad (ENS) 高階安全性措施
西班牙 ENS 概觀
在 2007 年,西班牙政府頒佈了 11/2007 法令,建立法律架構,讓公民能夠以電子方式存取政府和公共服務。 此法律是 Esquema Nacional de Seguridad (National Security Framework) 的基礎,由更新的英國元 RD (RD) 2022/311 管理。 架構的目標是建立電子服務佈建的信任,並確保資料、資訊和服務的存取、完整性、可用性、真實性、機密性、可追溯性以及保留。
此架構適用於西班牙購買雲端服務的所有公共組織和政府機關,以及資訊和通訊技術 (ICT) 提供者。 它會引導這些機構和公司在部署雲端和內部部署中針對安全性實作有效控制,遵循西班牙和歐盟的安全性與隱私權標準。
架構會建立核心原則和強制性需求,政府機構及其服務提供者都必須遵守。 它定義一組特定的安全性控制 (其中許多項直接與 ISO/IEC 27001 保持一致),與可用性、真實性、完整性、機密性和可追溯性相關。 資訊敏感度 (低、中、高) 決定了必須套用以保護的安全性措施。
每個政府機關都需要採用安全性的風險管理方法,以便識別並評估風險,然後套用適合這些風險的安全性控制。 服務提供者也必須遵守嚴格的架構需求,以協助確保其程序、技術能力和營運是安全的,並且讓機構遵守法規。
這個架構規定認證程序,對於處理低敏感度資訊的系統是自主性的,但是對於處理中或高敏感度資訊資訊的系統則是必要的。 稽核是由經認證的獨立稽核員執行。 接著報告會在認證程序中進行檢閱,這個程序是在認證最終步驟接受的風險管理控制前面。
Microsoft 和西班牙 ENS 高階安全性措施
Microsoft Azure 和 Microsoft Office 365 已經過獨立稽核員 BDO 嚴格的評估,並對此發表了正式的聲明。 BDO 報告表示,這兩項服務中的安全措施以及其資訊系統和資料處理設施,均符合 RD 3/2010 的高層級要求而不需任何矯正措施。 Microsoft 是第一個在西班牙獲得認證的超大型雲端服務提供者。
Microsoft 範圍內雲端平台與服務
- Azure
- Microsoft 365 & Microsoft 365 教育版
- Dynamics 365
Microsoft 365 和 ENS High
Microsoft 365 (Office 365) 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Microsoft 365 & Microsoft 365 教育版適用性和範圍內服務
使用下表來判斷Microsoft 365 和 Microsoft 365 教育版服務和訂用帳戶的適用性:
適用性 | 範圍內服務 |
---|---|
商業 | Microsoft Viva (包括 Connections、Insights、Learning 和 Engage) 、Microsoft 365 (包括 Word、Excel、PowerPoint、Outlook、Sharepoint、Exchange、OneNote、OneDrive、Microsoft Planner、Sway、Whiteboard、Delve、Microsoft Forms、Microsoft To Do 和 Windows) ,Microsoft Purview (包括稽核、調適性保護、通訊合規性、電子檔探索、合規性管理員、資訊保護、數據生命週期管理、測試人員風險管理、數據外泄防護和統一數據控管,也稱為 Azure Purview) ,Microsoft Teams (包括音訊會議和電話系統) 、Microsoft Outlook Web App、Microsoft Outlook Mobile、Microsoft Copilot Microsoft 365、Copilot in Windows、Microsoft Copilot 商業數據保護、Microsoft Exchange Online 保護,Microsoft Defender 全面偵測回應 (包含 適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender 和適用於 Office 365 的 Microsoft Defender 和 Microsoft Defender for Cloud Apps) 、適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps、Microsoft Intune |
Dynamics 365和 ENS High
Dynamics 365 適用性和範圍內的服務
使用下表來判斷 Dynamics 365 服務和訂用帳戶的適用性:
適用性 | 範圍內服務 |
---|---|
商業 | Copilot Studio、Dynamics 365 Sales、Dynamics 365 Customer Insights Journey、Dynamics 365 Customer Insights Data、Dynamics 365 Finance、Dynamics 365 供應鏈管理、Dynamics 365 Business Central,Dynamics 365 客戶服務 (包括 Omnichannel) 、Dynamics 365 Field Service (包括 Remote Assist) 、Dynamics 365 Human Resources、Dynamics 365 Project Operations、Dynamics 365 Commerce、Dynamics 365 Fraud Protection、Dynamics 365 Customer Voice、Power Platform (包括 Power BI、Power Apps、Power Automate 和 Power Pages) 、Power Platform (中的 Copilot,包括適用於 Power Apps 的 Copilot、適用於 Power Automate 的 Copilot、適用於 Power Pages 的 Copilot 和適用於 Power BI) 的 Copilot、銷售用 Copilot、服務用 Copilot、財經用 Copilot、適用於 Dynamics 365 的 Copilot |
Microsoft Azure 和 ENS High
Azure 適用性和範圍內服務
使用下表來判斷 Azure 服務和訂用帳戶的適用性:
適用性 | 範圍內服務 |
---|---|
商業 | Azure 機密運算,Microsoft Entra (包括 Entra ID、Entra ID Governance、Entra 外部 ID、Entra Domain Services、Entra 驗證識別碼、Entra 權限管理、Entra 工作負載 ID、Entra Internet Access y Entra Private Access) 、AzureSite Recovery、Azure 虛擬網路、Azure ExpressRoute、Azure Load Balancer、Azure 備份、Azure AI 服務 (包括 Azure OpenAI、Azure 認知搜尋、Azure AI Vision、Azure AI 自訂視覺、Azure AI 語言、Azure AI 語音、Azure AI 翻譯工具、Azure AI 檔智慧、Azure AI Bot Service、Azure AI 音訊 & 視訊、Azure AI 異常偵測程式、Azure AI 內容安全、Azure AI 個人化工具、Azure AI Metrics Advisor y Azure AI 沈浸式閱讀程式) 、Azure AI Studio (包括 Azure OpenAI Studio、Azure Machine Learning Studio、Azure Language Studio、Azure Speech Studio、Azure Vision Studio、Azure 自定義翻譯工具 Studio、Azure Document Intelligent Studio y Azure Content Safety Studio) 、適用於 Azure 的 Copilot、Azure SQL、Azure Cosmos DB、Azure SQL Database、適用於 PostgreSQL 的 Azure 資料庫、Azure SQL 受控執行個體、適用於 MySQL 的 Azure 資料庫、Azure Cache for Redis、適用於 MariaDB 的 Azure 資料庫、Azure 記憶體 (包括 Blob、封存、磁碟、檔案 y 數據箱) Azure Synapse分析學 |
Azure Databricks、Azure Data Factory、Azure HDInsight、Azure Analysis Services、Azure Data Lake、Azure Data Lake Analytics、Microsoft Fabric、Fabric Copilot、Power BI Embedded、Azure DevOps、Azure IoT 中樞、Azure 事件中樞、Azure Log Analytics、Azure 監視器、Azure 金鑰保存庫 (包括 Standard、Premium y 受控 HSM) 、Microsoft Sentinel、Microsoft Copilot for Security、Microsoft Defender for IoT、Microsoft Defender適用於雲端、Microsoft Defender 雲端安全性態勢管理、Microsoft Defender 外部受攻擊面管理 (EASM) 、Azure DDOS 保護、Azure 防火牆、Azure 防火牆 Manager、AzureWeb 應用程式防火牆、Azure 應用程式閘道、Azure VPN 閘道、Azure Bastion、Azure 虛擬機器、Azure Kubernetes Service、Azure 容器執行個體、Azure Container Registry、Azure Containers Apps、Azure App 服務、Azure Web Apps、Azure Logic Apps、Azure API 管理、Azure 服務匯流排、Azure 事件方格、Azure VMWare 解決方案、Azure 虛擬桌面 (AVD) 、Azure Arc Azure NetApp Files |
稽核、報告和認證
認證有效期限為兩年,並且有年度監控稽核。
Azure
- Azure National Security Framework (ENS) 憑證 (西班牙)
- Azure National Security Framework (ENS) 稽核報告 (西班牙文)
Microsoft 365 和 Microsoft 365 教育版
- Microsoft 365 & Microsoft 365 教育版國家安全性架構 (ENS) 憑證 (西班牙文)
- Microsoft 365 & Microsoft 365 教育版國家安全性架構 (ENS) 稽核報告 (西班牙文)
Dynamics 365
常見問題集
如何取得稽核報告和認證的複本?
服務信任入口網站提供西班牙文和英文版的稽核報告和認證。 您的稽核員可以使用它們來比較 Microsoft 的雲端服務結果與您自己的法律和法規需求。
我要從何處著手組織自身的合規性工作?
如果貴組織使用的是 Azure 或 Office 365,您可以在自己的認證程序中使用 ENS Microsoft 稽核報告和認證。 不過,您有責任確保稽核者有參與評估合規性的實作,以及確保貴組織內的控制和程序與架構一致。
資源
- Esquema Nacional de Seguridad of Spain (西班牙文和英文)
- Microsoft Online Services 條款
- Microsoft 信任中心的合規性